Som en del av ISO 27001:2022 spesifiserer vedlegg A 5.1 at organisasjoner må ha en informasjonssikkerhet policydokument på plass. Dette er å beskytte seg mot trusler mot informasjonssikkerhet.
Forretningsbehov, så vel som gjeldende forskrifter og lovverk, må vurderes ved utvikling av retningslinjer.
Et policydokument for informasjonssikkerhet er i hovedsak et kompendium av vedlegg A kontroller som forsterker organisasjonens sentrale uttalelser om sikkerhet og gjør dem tilgjengelige for interessenter.
I 2022-versjonen av standarden bør retningslinjer også inkluderes i utdannings-, opplærings- og bevisstgjøringsprogrammet, som beskrevet i People Controls A.6.3.
Organisasjonspolicyer spesifiserer prinsippene som medlemmer og sentrale parter som leverandører må følge. Disse retningslinjene bør gjennomgås regelmessig og oppdateres etter behov.
An informasjonssikkerhetspolitikk har som mål å gi ansatte, ledelse og eksterne parter (f.eks. kunder og leverandører) et rammeverk for å administrere elektronisk informasjon, inkludert datanettverk.
En sikkerhetspolicy skal defineres, godkjennes av ledelsen, publiseres og kommuniseres til ansatte og relevante eksterne parter.
I tillegg til å redusere risikoen for tap av data på grunn av interne og eksterne trusler, retningslinjer for informasjonssikkerhet sikrer at alle ansatte forstår sin rolle i å beskytte organisasjonens data.
I tillegg til å møte standarder som f.eks ISO 27001, kan en informasjonssikkerhetspolicy også demonstrere overholdelse av lover og forskrifter.
Cyber sikkerhet trusler inkluderer bedriftsspioner og hacktivister, terrorgrupper, fiendtlige nasjonalstater og kriminelle organisasjoner. Disse truslene søker å få ulovlig tilgang til data, forstyrre digitale operasjoner eller skade informasjon.
Trusler mot cybersikkerhet og informasjonssikkerhet inkluderer:
Informasjonssikkerhetspolicyer er utformet for å beskytte bedriftens sensitive informasjon mot tyveri og uautorisert tilgang.
In i samsvar med ISO 27001, Vedleggskontroll A 5.1 veileder formålet og gjennomføringen av å etablere en informasjonssikkerhetspolicy i en organisasjon.
En overordnet informasjonssikkerhetspolicy kreves av Vedlegg A Kontroll 5.1 for organisasjoner til å administrere sin informasjonssikkerhet. Ledelsen skal godkjenne retningslinjene, som skal gjennomgås jevnlig dersom det skjer endringer i informasjonssikkerhetsmiljøet.
Den hensiktsmessige tilnærmingen er å møtes regelmessig, minst en gang i måneden, med ekstra møter etter behov. I tillegg til å dele retningslinjer med interne og eksterne interessenter, må ledelsen godkjenne eventuelle endringer før de implementeres.
A detaljert operasjonsprosedyre som beskriver hvordan informasjonssikkerhetspolicyen skal implementeres bør være basert på og støttet av en informasjonssikkerhetspolicy.
Politikken bør godkjennes av topp ledelse og kommunisert til ansatte og interesserte.
I tillegg til å gi retning til organisasjonens tilnærming for å administrere informasjonssikkerhet, kan policyen brukes til å utvikle mer detaljerte driftsprosedyrer.
Som påkrevd av ISO/IEC 27000 standarder, er en policy avgjørende for å etablere og vedlikeholde et styringssystem for informasjonssikkerhet (ISMS). En veldefinert policy forblir kritisk selv om organisasjonen ikke har til hensikt å gjøre det implementere ISO 27001 eller annen formell sertifisering.
Retningslinjer for informasjonssikkerhet bør gjennomgås regelmessig for å sikre fortsatt egnethet, tilstrekkelighet og effektivitet.
Når det gjøres endringer i virksomheten, dens risikoer, teknologi, lovverk eller forskrifter, eller hvis sikkerhetssvakheter, hendelser eller hendelser indikerer at det er behov for endringer i retningslinjene.
Som en del av ISO 27001 revisjon 2013, slår denne kontrollen sammen vedlegg A kontroller 5.1.1 Retningslinjer for informasjonssikkerhet og 5.1.2 Gjennomgang av retningslinjer for informasjonssikkerhet.
Vedlegg A-kontroll 5.1 tommer ISO 27001:2022 er oppdatert med en beskrivelse av formålet og utvidet implementeringsveiledning, samt en attributttabell som lar brukere forene Annex A-kontroller med bransjeterminologi.
I henhold til vedlegg A 5.1 bør informasjonssikkerhet og emnespesifikke retningslinjer defineres, godkjennes av ledelsen, publiseres, kommuniseres til og anerkjennes av det aktuelle personalet.
En organisasjons informasjonssikkerhetspolicy bør vurdere størrelsen, typen og sensitiviteten til informasjonsmidler, industristandarder og gjeldende myndighetskrav.
I henhold til punkt 5.1.2 i ISO 27001:2013 er formålet med vedlegg A å sikre at informasjonssikkerhetspolicyer jevnlig blir evaluert dersom endringer i informasjonssikkerhetsmiljøet oppstår.
I henhold til ISO 27001: 2013 og ISO 27001: 2022 bør toppledelsen utvikle en sikkerhetspolicy som er godkjent av toppledelsen og beskriver hvordan organisasjonen skal beskytte sine data. Likevel dekker begge versjonene av forsikringene ulike krav.
I henhold til ISO 27001:2013 bør retningslinjer for informasjonssikkerhet dekke følgende krav:
Retningslinjer for informasjonssikkerhet bør inneholde følgende utsagn:
I motsetning til dette har ISO 27001:2022 mer omfattende krav.
Som en del av informasjonssikkerhetspolicyen bør følgende krav tas i betraktning:
Uttalelser om følgende bør inkluderes i informasjonssikkerhetspolicyen:
I tillegg ble ISO 27001:2022 revidert for å inkludere emnespesifikke retningslinjer for informasjonssikkerhetshendelse, ressursforvaltning, nettverkssikkerhet, hendelseshåndtering og sikker utvikling som emnespesifikke retningslinjer. For å skape et mer helhetlig rammeverk ble noen av kravene i ISO 27001:2013 fjernet eller slått sammen.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Med ISMS.online, vil du ha tilgang til et komplett sett med verktøy og ressurser for å hjelpe deg med å administrere ditt eget ISO 27001 Information Security Management System (ISMS), enten du er nykommer eller allerede sertifisert.
I tillegg tilbyr ISMS.online automatiserte prosesser for å forenkle hele gjennomgangsprosessen. Disse prosessene sparer betydelige mengder admintid sammenlignet med andre arbeidsmetoder.
Du vil få et forsprang med ISO 27001-policyer og kontroller fra ISMS.online.
Intuitive arbeidsflyter, verktøy, rammeverk, retningslinjer og kontroller, handlingskraftig dokumentasjon og veiledning, samt handlingsdyktig veiledning gjør det enkelt å implementere ISO 27001 ved å definere omfanget, identifisere risikoer og implementere kontroller basert på våre algoritmer – enten de er laget fra bunnen av eller basert på maler for beste praksis i bransjen.
Kontakt oss i dag for planlegg en demonstrasjon.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din